Configurer une règle ACL

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 5 minutes de lecture

    • Configurez une règle de liste de contrôle d’accès (ACL) personnalisée pour sécuriser l’accès à de nouveaux objets ou pour modifier le comportement de sécurité par défaut.

    Avant de commencer

    Rôle requis : security_admin

    Pourquoi et quand exécuter cette tâche

    Pour créer des règles ACL, vous devez élever les privilèges au rôle security_admin.

    Pour les tables qui se trouvent dans un champ d’application différent de l’enregistrement de règle ACL, les types de règles sont limités. Pour les tables principales du périmètre permettant de dériver le périmètre et d’exécuter les ACL incluses dans le périmètre, définissez la glide.enforce_security_scope.<scope_name> propriété sur vrai. Cela garantit que les ACL du champ d’application global ne correspondent pas lorsque des ACL spécifiques au champ d’application sont créées dans la table pertinente. Par exemple, lors de la sécurisation des données dans des tables d’application partagées dans le périmètre global, telles que les tables sys_attachment ou sys_question_answer.

    Procédure

    1. Rôles à privilèges élevés au rôle security_admin.
    2. Accédez à la Sécurité de système > Contrôle d'accès (ACL).
    3. Cliquez sur Nouveau.
      Conseil :
      Lors de la création d’une nouvelle ACL, il est utile d’examiner le ACL refuser, sauf.
    4. Renseignez le formulaire.
      Tableau 1. Champs de contrôle d’accès
      Champ Description
      Type Sélectionnez le type d’objet sécurisé par cette règle ACL. Le type d’objet détermine le nom de l’objet et les opérations disponibles. Ce champ passe en lecture seule après la création de la règle ACL. Si vous souhaitez modifier le type, vous devez supprimer l’ACL et en créer une nouvelle avec le type correct.
      Opération Sélectionnez l’opération que cette règle ACL sécurise. Chaque type d’objet a sa propre liste d’opérations. Une règle ACL ne peut sécuriser qu’une seule opération. Pour sécuriser plusieurs opérations, créez une règle ACL distincte pour chacune d’elles.

      Si vous créez une règle pour une opération report_view, reportez-vous également Report_view access controlà la section .
      Type de décision Sélectionnez le type de décision de l’ACL. Autoriser si autorise l’accès en cas d’évaluation réussie. Refuser sauf si l’accès est refusé, sauf si l’évaluation est réussie. Consultez la section ACL refuser, sauf pour plus d’informations.
      Remplacement administrateur

      Cochez cette case pour que les utilisateurs disposant du rôle administrateur passent automatiquement la vérification des autorisations pour cette règle ACL. Les utilisateurs administrateurs réussissent, quelles que soient les restrictions de script ou de rôle qui s’appliquent. Toutefois, le rôle personne , que seul le ServiceNow personnel peut affecter, prime sur l’option de remplacement administrateur. Si une ACL est affectée au rôle personne , les utilisateurs administrateurs ne peuvent pas accéder à la ressource, même lorsque l’option Remplacements administrateur est sélectionnée. Voir Rôles système de base.

      Décochez cette case si les administrateurs doivent satisfaire aux autorisations définies dans cette règle ACL pour accéder à l’objet sécurisé. Étant donné que les administrateurs réussissent toujours les vérifications de rôle (voir la description du champ Exige un rôle ), utilisez le générateur de conditions ou le champ Script pour créer une vérification des autorisations que les administrateurs doivent vérifier.
      Politique de protection Sélectionnez cette option pour définir la politique de protection sur l’ACL
      Nom Entrez le nom de l’objet sécurisé, soit le nom de l’enregistrement, soit les noms de table et de champ. Plus le nom est précis, plus la règle ACL est spécifique. Vous pouvez utiliser le caractère générique astérisque (*) à la place d’un nom d’enregistrement, de table ou de champ pour sélectionner tous les objets qui correspondent à un type d’enregistrement, à toutes les tables ou à tous les champs. Vous ne pouvez pas combiner un caractère générique et une recherche de texte. Par exemple, inc* n’est pas un nom de règle ACL valide, mais incident.* et *.number sont des noms de règle ACL valides.
      Remarque :
      Cliquez sur le triangle bleu pour entrer manuellement le nom de l’enregistrement ou les noms de table et de champ de l’objet à sécuriser. Utilisez cette option pour sécuriser un objet qui n’apparaît pas dans la liste déroulante.
      Description Entrez une description de l’objet ou des autorisations que cette règle ACL sécurise.
      Actif Cochez cette case pour appliquer cette règle ACL.
      Avancés Cochez cette case pour afficher les champs de condition avancée . Voir l’étape 6.
    5. Facultatif : Pour réduire le champ d’application de l’ACL, renseignez les champs Conditions si nécessaire.
      Demande un rôle Utilisez cette liste pour spécifier les rôles qu’un utilisateur doit avoir pour accéder à l’objet. Si vous répertoriez plusieurs rôles, un utilisateur disposant de l’un des rôles répertoriés peut accéder à l’objet. La liste Exige un rôle apparaît sous forme de liste connexe.
      Remarque :
      Les utilisateurs disposant du rôle administrateur réussissent toujours cette vérification des autorisations, car le rôle administrateur leur accorde automatiquement tous les autres rôles.
      Condition de données Utilisez ce générateur de conditions pour sélectionner les champs et les valeurs qui doivent être vrais pour que les utilisateurs puissent accéder à l’objet.
      Remarque :
      Le champ Condition est sensible à la casse
    6. Facultatif : Si la case Avancé est cochée, renseignez les champs Conditions avancées au besoin
      Contrôlé par références Applique l’ACL sur les enregistrements connexes. Reportez-vous à la rubrique Accès à l’enregistrement connexe pour en savoir plus.
      Script Entrez un script personnalisé décrivant les autorisations requises pour accéder à l’objet. Le script peut utiliser les valeurs des variables globalesactuelles et précédentes dans les règles métier ainsi que les propriétés système. Le script doit générer une réponse vrai ou faux de l’une des deux façons suivantes :
      • Renvoyer un jeu de variables de réponse à une valeur vrai ou faux
      • Évaluer à vrai ou faux

      Dans les deux cas, les utilisateurs n’accèdent à l’objet que lorsque le script est évalué comme vrai et qu’ils remplissent toutes les conditions de la règle ACL. Les conditions et le script doivent être définis sur vrai pour qu’un utilisateur puisse accéder à l’objet.

      S’il y a un script dans le champ Script. Ce script s’exécute même si le champ n’est pas affiché sur le formulaire.

      Remarque :
      Si l’élément évalué se trouve dans une liste connexe, l’élément actuel pointe vers l’élément sur lequel se trouve la liste connexe, et non vers l’élément actuel auquel l’ACL est destinée. Toutefois, si l’élément pour lequel vous évaluez l’ACL n’est pas dans une liste connexe, l’élément actuel pointe vers l’élément réel.
    7. Cliquez avec le bouton droit sur l'en-tête du formulaire, puis sélectionnez Enregistrer.